WO2006135078A1

WO2006135078A1 - コンテンツの利用端末を制限する方法、記憶装置およびシステム

Info

Publication number: WO2006135078A1
Application number: PCT/JP2006/312200
Authority: WO
Inventors: Haruko Takano; Tatsuya Hirai
Original assignee: Hitachi, Ltd.
Priority date: 2005-06-14
Filing date: 2006-06-12
Publication date: 2006-12-21
Also published as: JP2008209960A

Abstract

コンテンツの再生が可能な端末を柔軟に制限し、コンテンツの不正利用を防ぐことを目的とする。各再生端末を識別するために、各端末装置に固有の識別子を割り振る。そして、ライセンスに、そのライセンスで再生を許す端末の識別子を登録する。コンテンツを再生する際、ライセンス転送先である端末装置と、ライセンス転送元である記憶装置の間で認証を行う。そして認証時に端末装置自身の識別子を、転送元である記憶装置ヘ送信する。記憶装置は、送られてきた識別子とライセンスに登録されている、識別子を照合し、同じ識別子であれば、ライセンスを端末装置へ転送し、異なる識別子であれば、ライセンスの転送を中止する。

Description

明細書コンテンッの利用端末を制限する方法、記憶装置およびシステム技術分野

本発明は、コンテンツの利用端末を制限する方法、そのための記憶装置、およびシステムに関するものである。背景技術

近年のィンターネットインフラの普及に伴い、ユーザは、音楽 ·映像等のデジタルコンテンッを手軽に利用するこ'とが可能になってきている。一方、デジタル化されたコンテンツは、改竄やコピーが比較的容易にでき、しかも品質が劣化しないため、不正コピーが '頻繁に行 'われ、著作権が侵害される場合がある。この様な問題を解決するために、様々.な D R M Digi tal Ri ghts' Management) 技術力 S提案されている。

D R M技術の例として、コンテンツに再生期限を設けるものや、コピー回数を制限するもの、コンテンッの再生端末を制限するもの等がある。

特開 2 0 0 1— 3 5 1 3 2 3号公報（特許文献 1 ) には、コンテンッの利用が可能な端末をコンテンツを記録した端末のみに限定し、コンテンッの流通に制限を加えることによって、コンテンッの著作権を保護する方法が記載されている。コンテンツを記録する際、その機器でのみ再生可能とする「再生機器制限あり」の設定では、デバイス固有鍵をコンテンツの暗号鍵に作用させ、「再生機器制限無し」の設定では、デバイス IDを暗号鍵に作用させて暗号化鍵を生成する。そして、記録した機器のデバイス IDと、再生機器制限あり ·なしのモード情報を、コンテンツを記録した媒体に保存する。「再生機器制限あり」のコンテンッの場合には、デバイス固有鍵を登録した再生端末でのみ復号が可能となる。一方、「再生機器制限なし」の場合には、いずれの端末でもデパイス IDを取得してコンテンツを復号し、再生することが可'能となる。

特開 2 0 0 4— 2 6 4 8 9 4号公報（特許文献 2 ) には、コンテンッ利用条件情報に再生を許す機器の情報を登録することによって、コンテンッの再生が可能な端末を制限する方法が記載されている。

各再生端末にその端末のデバイス属性、例えば、メ一力一名、機種、型番、機能等を保存する。一方、コンテンツ利用条件に再生を許す再生端末のデバイス属性情報を登録する。コンテンツ再生時に、再生端末内の利用条件解釈モジュールによって、再生端末内に登録しているデバイス属性の情報がコンテンツ利用条件,の中に登録されているディスの属性情報に食まれているか否か照合を行い、再生の可否を判定する。

特許文献 1 ：特開 2 0 0 1— 3 5 1 3 2 3号公報

特許文献 2 ：特開 2 0 0 4— 2 6 4 8 9 4号公報発明の開示

発明が解決しようとする課題

デバイス固有鍵をコンテンツの喑号鍵.に作用させる方法は、そのコンテンッを保存した端末でのみ再生可能という狭い制限しか設けることができない。例えば、端末 A、 B、 Cで再生可、他の端末では再生不可というような柔軟な制限を設けることができない。

また、端末に登録したデバイス属性と、コンテンツ利用条件情報に登録したデパイス属性を照合する方法は、再生端末の制限を柔軟に設' 定することはできるが、再生可否判断を端末側で行うため、その端末が再生に適しているか確認する前に、コンテンッ利用条件情報を端末へ転送する。したがって、例えば、暗号化コンテンツの復号鍵をコンテンッ利用条件情報とまとめて配信し、保存するシステムにおいては、悪意ある第三者が不正端末で不正利用を行う恐れがある。

本発明の目的は、デジタルコンテンツの再生が可能な端末を柔軟に制限し、デジタルコンテンッの不正利用を防ぐことにある。 ' 課題を解決するための手段 ― 各端末を識別するために、端末に固有の識別子を割り振る。識別子は、例えば製造時に端末内の不揮発性メモリ等に保存しておく。そして例えばライセンスに、該ライセンスで再生を許す端末の識別子を登録する。例えば、該ライセンスで再生を許す端末が 3台ある場合は、 3台それぞれの識別子をライセンスに登録する。コンテンッを端で利用する際、ライセンス出力先の端末と、ライセンスを記録している記憶装置の間で認証を行う。認証時に端末自身の識別子を記憶装置へ送信する。記憶装置は、送られてきた識別子とライセンス内の識別子リストを照合し、一致する識別子が存在した場合、例えばライセンスを出力し、存在しない場合、ライセンスの出力を中止する。

' また、ユーザの利便性を考慮し、ユーザが自身の所有する端末の識別子をライセンス内の識別子リストに登録する場合は、該識別子リストにユーザが識別子を登録できる空き領域を設ける。ユーザ端末、コンテンッを記録している記憶装置の蘭での認証時に、記憶装置が取得したユーザ端末自身の識別子が、記憶装置内に存在しない場合、記憶装置は、識別子リストに空き領域が存在するか調べ、存在した場合、該ユーザ端末の識別子を該空き領域に登録する。空き領域が存在しなかった場合、ユーザは、ユーザ端末の識別子と共に、削除したい端末の識別子を記憶装置へ送る。記憶装置は、取得した削除する識別子を識別子リストから削除する。識別子リストの識別子を削除する権限を持つ端末を、特定の端末に制服する場合は、識別子登録領域に、例えば時系列順で識別子を登録 'し、該識別子リストの特定の領域に'登録した識別子（例えば、識別子登録領域の最上位パイトに登録されている識別子）を所有する端末に識別チの削除処理権限を与える。

発明の効果.

本発明を適用することによって、コンテンッの利用が可能な端末の個体、及び端末台数を、コンテンツを提供するサービス業者が任意.に決定することが可能になる。

また、識別子の登録領域を設けた場合は、コンテンツの利用が可能な端末を、ユーザが任意に決定することも可能になる。 '

ライセンスを記録している記憶装置内で、出力先の端末における該コンテンッの利用可否を判定するため、不正端末にライセンスを出力する心配がない。図面の簡単な説明

図 1は、コンテンツ配信システムの構成を示す'図である。

図 2は、端末装置と己憶装置のハードウエア構成例を示す図である。図 3は、. ライセンスのデータ形式例を示す図である。 '

図 4は、記憶装置から端末装.置へヲィセンスを送る場合の動作概略を説明する図である。 '- 図 5は、実施例, 1においてライセンス転送時の処理手順を説明する図である。

図 6は、実施例 2において識別子をライセンス内の識別子登録領域に登録する手順を説明する図である。

図 7は、実施例 2において不要な識別子の削除処理を行うために、端末と記'憶装置間で行われるデータのやりとりおよび処理について説明する図である。'

図 8は、実施例 2において不要な識別子をマスター端末で削除する際の端末と記憶装置間で行われるデータ.のやりとりおよび処理について説明する図である。

図 9は、関連する鍵および証明書の説明を示す図である。符号の説明

103 端末装置 .

106 記憶装置，

300 ライセンス

304 端末識別子リスト発明を実施するための最良の形態

以下、本発明の実施形態について図面を用いて説明する。実施例 1 ' 図 1を用いて、本発明をコンテンツ配信システムに適用する場合の実施例の概略について述べる。 100は暗号化コンテンッを配信するコンテンッサーバである。コンテンツは、

共通鍵暗号方式で暗号化した状態で配信される。コンテンッを暗号化する際に使用する鍵をコンテンッ鍵 102と呼ぶ。コンテンツ鍵 102は、暗号化コンテンッの復号にも用いられ、ライセンスサーバ 101が配信するライセンスに含まれる。ライセンスは、コンテンツ鍵 102及ぴコンテンッの利用条件等を含む。ライセンスのデータ形式については後述する。 103はコンテンツを利用する端末装置である。端末装置 103 は、内蔵または可搬型の記憶装置 106と接続可能あるいは通信可能である。記憶装置 106は、ユーザが自由にアクセス可能なユーザ領域 104 と、アクセスに制限のある耐タンパ領域 105を有する。

端末装置 103は、コンテンッサーバ 100から取得した暗号化コンテンッを記憶装置 106のユーザ領域 104に記録する。

また端末装置 103は、ライセンスサーバ 101から取得したライセンスを記憶装置 106の耐タンパ領域 105に記録する。

端末装置 103は、コンテンッ利用時に記憶装置 106のユーザ領域に記録される暗号化コンテンツを耐タンパ領域 105に記録しているライセンスに含まれるコンテンッ鍵 102を用いて復号する。端末装置 103は、例えばパーソナルコンピュータ（P C) 、 P DA, 携帯電話、携帯端末、 S T B、カーナビ等、コンテンツの利用が可能な装置を指す。次に、図 2を用いて、端末装置 103および記憶装置 106のハードゥエァ構成について説明する。暗号化コンデンッとライセンスを記録した可搬型の記憶装置 106を端末装置 103に接続し、コンテンッを利用する場合について説明する。

端末装置 103は、その一部としてインターフェース 201と耐タンパ領域 202を有する。耐タンパ領域 202は、 ROM205、 RAM204、 C P U 203、復号器 207、デコーダ 208および D Aコンバータ 209を含む _ώ

C P U203は、 RQM205に記憶されているプログラムにしたがって、 O S、各種プログラムを実行する制御手段として機能する。具体的な処理は、共通鍵暗号及び公開鍵暗号のァルゴリズムの下でデータの暗号処理及び復号処理、セッション鍵の生成、ライセンス内'の利用条件解釈、コンテンツ利用の可否判定等である。セッション鍵は、例えば擬似乱数や、熱雑音などから得られる乱数を元に生^される。

R ΟΜ205は、 C P U 203が使用するプログラムや演算用のパラメ一タのうち固定データ等があらかじめ記録される。また、端末のデバイスクラス公開鍵の正当性を示す証明書、デバイスクラス公開鍵 KPdc、デバイスクラス秘密鍵 Kdc、デバイス個別公開鍵 KPd、デバイス個別秘密鍵 Kd、端末識別子等が登録される。証明書は、例えば ITU (国際電気通信連合）報告の X.509に基づいたものである。図 9に関連する鍵およぴ証明書の説明を示す。 '

端末識別子は、各端末に固有な識別子であり、例えば製造番号や製 '造日等から作成され、同じ型番の端末でも端末ごとに鹮別子が異なるように割り振られる。そして、例えば製造時に端末装置 103の R OM 205等に記録される。 RAM204は、 C P U 203で実行されるプログラムゃ、その実行中に適宜変化するパラメータ、計算途中や処理待ちの暗号データ、復号データ等を格納する。 '

C P U203、 R OM205、 R AM204およぴ復号器 207は、バス 206を介して相互に接続している。 C P U203、 R OM205、 RAM204、復号器 207、デコーダ 208、 DAコンバータ 209、およびそれらをつなぐバス 206は、全て同一の耐タンパ領域 202にある。耐タンパ領域は、例えば耐タンパにしたい領域を樹脂で封止し、樹脂を除去しようとすると回路も破壊する造として実現される。

インターフエス 201は、端末装置 103がコンテンッサーバ 100およぴライセンスサーバ 101と通信するときに通信制御機構としで機能する。 .

端末装置 103は、ィンターフェース 201および耐タンパ領域 202以外に、一般に C P U、メモリ、記憶装置、入出力装置などを含むが、本発明とは直接関係しないので、図示および説明を省略する。

次に、コンテンツおよびライセンスを記録する可搬型の記憶装置 106の構成について説明する。例えば可搬型の記憶装置 106は磁気ディスク装置である。

記憶装置 106は、 ROM262、 RAM261、 C P U264、およ.ぴ磁気デイスク上の耐タンパ領域 105とユーザ領域 104を含む。

C P U264は、 R OM262に記憶されているプログラムにしたがって、各種プログラムを実行する制御手段として機能する。具体的な処理は、共通鍵暗号及び公開鍵暗号のァルゴリズムを用いたデータの暗号処理および復号処理、ハッシュ計算、チャレンジ鍵の生成、証明書の検証、端末識別子の照合、ライセンス転送の可否判定等である。チヤレンジ鍵は、例えば擬似乱数や、熱雑音などから.得られる乱数を元に生成される。

R O M 262には、 C P U 264が使用するプログラムや演算用のパラメータのうち、固定データや、証明書の検証時に必要な公開鍵 KPa等が記録される。

R A M 261は、 C P U 264で実行されるプログラムや、その実行中に適宜変化するパラメータ、計算途中や処理待ちの暗号データ、復号デ一タ等を保存する。

C P U 264, R O M 262、 R A M 261、およびそれらをつなぐバス 267 は、記憶装置 106に含まれる耐タンパ領域 263にある。耐タンパ領域の実現方法は上述したとおりである。

記憶装置 106に含まれる磁気ディスクは、ユーザが自由にデータへアクセス可能なユーザ領域 104と、データへのアクセスに制限がある耐タンパ領域 105を含む。ユーザ領域 104には、暗号化コンテンツが保存される。耐タンパ領域 105には、ライセンスが保存される。磁気デイスクは、図示していない磁気へッド、リードライトチャネル等を介して C P U 264と接続される。

端末装置 103のィンターフェース 201は、コンテンッサーバ 100およぴライセンスサーバ 101から送られるコンテンツおよびライセンスを受信し、バス 210を介して記憶装置 106へ送る。記憶装置 106の C P U 264は、これらコンテンツおよびライセンスを受信し、それぞれユーザ領域 104および耐タンパ領域 105に格納する。

なお端末装置 103が記憶装置 106と物理的に接続されてなく、両者が無線により通信可能であってもよい。

図 3を用いてライセンスのデータ形式について説明する。ライセンスは、図 3に示すように、ライセンス識別子 301、コンテンツ識別子, 302、暗号化コンテンツを復号するコンテンツ鍵 102、端末識別子リスト 304およびコンテンッ利用条件 305を含む。' 端末識別子リスト 304には、そのライセンスで再生を許す端末の識別子が列挙してある。コンテンッ利用条件 305は、例えばコンテンッの再生可能回数などを含む。次に図 4を用いて、記憶装置 106から端末装置 103へライセンスを転送する際の処理手順の概略について説明する。ここでは記憶装置 106 からライセンス 300を読み出し、端末装置 103ベライセンス 300を出力する場合を説明する。

始めに、ライセンス 300を登録している記憶装置 1,06が端末装置 103 に接続される。すると、後述する手段により、記憶装置 106は端末装置 103の認証を行う。

端末装置 103-1は、認証の際、自身の端末識別子 404 (abc)を記憶装置 106に送る。記憶装置 106は、ラィセンス 300内の端末識別子リスト 304 (abc, xyz)と、送られてきた端末識別子 404 (abc)を照合する。端末装置 103- 1の端末識別子がライセンス 300の端末識別子リスト 304に存在するため、記憶装置 106は端末装置 103- 1へライセンス 300を出力する。 '

端末装置 103-2は、認証の際、自身の端末識別子 405 (abb)を記憶装置 106に送る。記憶装置 106は、ライセンス 300内の端末識別子リスト 304 (ab c, xyz)と、送られた端末識別子 405 (abb)を照合する。端末装置 103- 2の端末識別子（abb)がライセンス 300内の端末識別子リスト 304に存在しないため、記憶装置 106は端末装置 10³- 2へのラィセンス 300の出力を中止する。

次に図 5を用いて、記憶装置 106の耐タンパ領域 105に登録されているライセンス 300を、端末装置 103に'移動またはコピーする際に実行される一連の処理手順について説明する。図 5で用いる鍵及び記号の説明を図 9にまとめる。 .，

始めに、 'ライセンス転送先である端末装置 103は、自身が正当な転送先であることを証明するために、証明書 500をライセンス転送元である.記憶装置 106に送信する。記憶装置 106は、その外部装置である転送先端末の証明書 500を検証する（501 )。ライセンス転送元である記憶装置 106は、証明書検証後、端末装置 103がライセンスを転送するのに適したデバィスであると判断すると、チヤレンジ鍵 Kchを生成する (502)。そしてチャレンジ鍵 Kchを、証明書に付随する転送先のデバイ'' スクラス公開鍵 KPdcを用いて公開鍵暗号アルゴリズムによつて暗号化し（503)、暗号化したチヤレンジ鍵 Kchを端末装置 103へ送信する

(504)。端末装置 103は、デバイスクラス秘密鹚 Kdcを用いて、送られてきた暗号化チヤレンジ鍵を復号し、チヤレンジ鍵 Kchを取得する

(505) 次に端末装置 103は、セッション鍵 Ksを作成する（509)。作成したセッション鍵に、 .予め端末に記録してあるデバイス個別公開鍵 KPdおよび端末識別子を結合し、 504の過程で送られてきたチヤレンジ鍵 Kchを用いて共通鍵暗号ァルゴリズムで暗号化する（508)。

暗号化されたセッション鍵 Ks、デバイス個別公開鍵 KPd、及び端末識別子は、ラィセンス転送元である記憶装置 10⁶へ送信される（507)。ライセンス転送元である記憶装置 106は、送られて'きた暗号化データチャレンジ鍵 Kchで復号し（506)、セッション鍵 Ks、デパイス個別公開鍵 KPd、及び端末識別子を取得する。記憶装置 106は、取得した端末識別子が、ライセンス 300に含まれる端末識別子リスト 304の端末識別子のいずれかと一致するかを照合する（510)。一致しない場合は、その場でライセンスの出力処理を中止する（514)。一方、一致した場合は、ライセンス 300 (Li c)を、 507の過程で出力されたデバイス個別公 1 開鍵 KPdとセッション鍵 Ksで暗号化し（511)、端末装置 103へ出力する (512)。端末装置 103は、受信した暗号化データを 509の過程で作成したセッション鍵 Ksおよび予め端末に登録してあるデバイス锢別秘密鍵 Kdを用いて復号し（513)、ライセンス 300を取得する（515)。

ライセンス取得後、端末装置 103はライセンスのコンテンッ利用条件 305を確認し、条件を満たしていた場合、ライセンス 300からコンテンッ鍵 102を抽出し、暗号化コンテンツを復号する。実施例 2

次に、実施例 2 としてコンテンツの利用を許す端末の識別子を、ュ一ザ自身がライセンス 300に登録できるシステムについて説明する。ライセンス 300の端末識別子リストに空き領域を設け、その空き領域にユーザが所有する端末の識別子をユーザ.自身で登録する。例えば、コンテンッを提供するサービス業者が、或るコンテンツの利用を 5台の端末まで許容する場合、端末識別子を登録する領域として識別子 5 個分の大き.さを確保しておけばよい。実施例では、端末識別子を登録で'きる空き領域を識別子登録領域と呼ぶ。識別子登録領域の大きさを変更することによって、識別子の登録数を制限できる。. , 以下、図 6を用いて、ユーザが端末識別子をライセンス 30,0の識別子登録領域に登録する手順について説明する。始めに、コンテンツを記録している記憶装置 106を或る端末装置 103に接続する。すると、端末装置 103と記憶装置 106の間で前述した方法で認証を行い、記憶装置 106は端末装置 103から端末自身の識別子を取得する（600)。記憶装置 106は、端末から取得した識別子と、ライセンス 300に記録されている端末識別子リスト 304を照合する（601)。端末識別子リスト 304に同一の端末識別子が存在した場合、ライセンス転送処理を進める（604)。一方、その端末識別子の登録が無かった場合、記憶装置 106はライセンス 300の識別子登録領域に、新たな識別子の追加登録が可能な空き領域があるか否か判定する（602)。識別子登録領域に空きが無い場合、ライセンスの転送処理を中止する（605)。識別子登録領域が存在する場合、記憶装置 106は、その端末識別子をライセンス 300の識別子登録領域に記録し（603)、ライセンス転送処理を実行する（604)。

次に、登録可能な識別子登録数を既に満たしている状態で、例えば、登録レた端末識別子を所持する端末が故障したため、故障した端末の識別子を削除し、新たに他の端末の識別子を登録する場合について説明する。

, 囪 7を用いて、端末識別子を削除する手順について説明する。まず始めに、記憶装置 106を端末装置 103に接続すると、端末装置 103は自身の証明書 500を記憶装置 106へ出力する。記憶装置 106は受信した証明書 500を検証する（501)。記憶装置 106は証明書の検証後、端末装置 103がデータを出力するのに適切な端末であると判断すると、チヤレンジ鍵 Kchを生成する（502)。記憶装置 106は、作成したチャレンジ鍵 Kchを証明書と'共に送られてきたデパイスクラス公開鍵 KPdcで公開鍵暗号アルゴリズムを用いて暗号化し（503)、端末へ送信する（504)。端末装置 103は、 'デバイスクラス秘密鍵 Kdcを用いて、送られてきた暗号化データを復号し、チャレンジ鍵 Kchを取得する（505)。端末装置 103 は、消去する識別子と自分の識別子を 504の過程で送られたチヤレンジ鍵 Kchを用いて共通鍵暗号アルゴリズムで暗号化し（705)、記憶装置 106へ出力する（706)。

記憶装置 106は、受信した暗号化データをチヤレンジ鍵 Kchで復号し (707)、消去する識別子および接続している端末の識別子を取得する。記憶装置 106は、ライセンス内にある端末識別子リスト 304と、送られてきた端末識別子を比較し、接続している端末の識別子が端末識別子リストに存在するか否か確認する（708)。端末識別子リストに接続中の端末の識別子が存在しない場合、記憶装置 106は、該識別子の消去処理を中止する（710)。端末識別子リストに接続中の端末の識別子が存在する場合、記憶装置 10⁶は、消去する識別子を識別子リストの中から見つけ、' 消去処理を行う（709)。消去すべき識別子は、端末識別子リストに含まれていなければならない。端末識別子を消去すると、ライセンス 300内の識別子登録領域が作成され、図 6に示す処理により新たな端末識別子をライセンス 300に登録することが可能になり、新たな端末装置 103がコンテンツを利用可能になる。

次に、端末識別子を消去できる権限を持つ端末装置 103を、端末識別子リストの予め定められた特定の領域に登録している識別子を所有する端末装置 103に制限する場合について説明する。ここで、端末識別子リストの特定の領域に登録している識別子を所有する端末装置 103をマスター端末と呼ぶ。例えば、識別子登録領域に時系列順で端末識別子を登録し、一番初めに登録した端末識別子（識別子登録領域の最上位パイトに登録されている端末識別子）を所有する端末装置 10_;3をマスター端末とし、端末識別子の削除処理権限を与えるなどして、マスター端末を限定する。

図 8を用いて、マスター端末により端末識別子を消去する場合の手順について説明する。まず始めに、記憶装置 106を端末装置 10³に接続すると、端末装置 103は自身の証明書 500を記憶装置 106へ出力する。記憶装置 106は受信した証明書 500を検証する（501)。記憶装.置 106は証明書の検証後、端末装置 103がデータを出力するのに適切な端末であると判断すると、チヤレンジ鍵 Kchを生成する（502)。記憶装置 106は、作成したチヤレンジ鍵 Kchを証明書と共に送られてきたデバイスクラス公開鍵 KPdcで公開鍵暗号アルゴリズムを用いて暗号化し（503)、端末へ送信する（504)。端末装置 103は、デバイスクラス秘密鍵 Kdcを用 4 いて、送られてきた暗号化データを復号し、チャレンジ鍵 Kchを取得する（505)。端末装置 103は、消去する識別子と自分の識別子を 504の過程で送られたチヤレンジ鍵 Kchを用いて共通鍵喑号ァルゴリズムで暗号化し（705)、記憶装置 106へ出力する（706)。

記憶装置 106は、受信した暗号化データをチヤレンジ鍵 Kchで復号し (707)、消去する識別子および接続している端末の識別子を取得する。記憶装置 106は、送られてきた端末識別子がライセンス内にある端末識別子リスト 304に存在するか否か判定.し（708)、存在した場合、該識別子が予め定められた特定の領域に登録しているかあるいは該識別子が削除する権限のある利用者のものであるか否かを確認し、接続中の端末端末 103がマスター端末か否か判定する（808)。

同一識別子がリス小に,ないかマスター端耒でなければ、該識別子の消去処理を中止する（710)。マスター端末であれば、消去する識別子を端末識別子リスト 304の中から見つけ、消去処理を行う（709)。

端末識別子を消去すると、ライセンス 300内の識別子登録領域が作成され、図 6に示す処理により新たな端末識別子をライセンス 300に登録することが可能になり、新たな端末装置.103がコンテンッを利用可能になる。

マスタ一端末が故障してしまつた場合、上記の処理を実行することが不可能'になるため、例えばマスタ一端末となる端末装置 103を複数台設定してもよい。

Claims

請求の範囲

1 . コンテンツを利用する端末装置と、前記端末装置と通信可能な記憶装置とを有するシステムに使用される記憶装置であって、

コンテンッの利用を許可する端末装置の識別子のリストを格納'する記憶領域と、

ある端末装置から当該端末装置に属する識別子を受信する手段と、 . 受信した当該識別子が前記識別子リストに含まれる場合に、当該端末装置にコンテンツ鍵を送信する送信する手段と、を有することを特徴とする記憶装置。

2 . コンテンツを利用する端末装置と、前記端末装置と通信可能な記憶装置とを有するシステムであって ·、前記記憶装置は、

コンテンツの利用を許可する端末装置の識別子の'リストを格納する記憶領域と、 - ある端末装置から当該端末装置に属"する識別子を受信する手段と、受信した当該識別子が前記識別子リストに含まれるか否か判定する手段と、

'当該識別子が前記識別子リストに含まれる場合に、当該端末装置にコンテンッの利用を許可するための動作を開始する手段とを有することを特徴とするコンテンッの利用端末を制限するシステム。

3 . 前記記憶領域は、さらに暗号化されたコンテンツを復号するためのコンテンツ鍵を格納し、前記コンテンツの利用を許可するための動作とは、前記コンテンツ鍵を読み出して当該端末装置に送信する動作であることを特徴とする請求項 2に記載のコンテンッの利用端末を制限するシステム。 ·

4 . 前記記憶装置は、当該識別子が前記識別子リストに含まれず、かつ前記識別子リストが新たな識別子を追加可能である場合に、当該識別子を前記識別子リストに追加登録する手段をさらに有することを特徴とする請求項 2に記載のコンテンツの利用端末を制限するシステム。

5 . 前記受信する手段は、当該識別子と削除すべき第 2の識別子とを受信し、前記記憶装置は、当該識別子と前記第 2の識別子とが前記識別子リストに含まれる場合に、前記識別子リストから前記第 2 の識別子を削除し、当該識別子リストに新たな識別子を追加可能にする手段をさらに有することを特徴とする請求項 4に記載のコンテンツの利用端末を制限するシステム。

6 . 前記識別子リストから前記第 2 の識別子を削除する手段は、さらに当該識別子が削除する権限のある外部装置の識別子であることを削除の条件とすることを特徴とする請求項 5に記載のコンテンツの利用端末を制限するシステム。